JP6900328B2 - Attack type determination device, attack type determination method, and program - Google Patents
Attack type determination device, attack type determination method, and program Download PDFInfo
- Publication number
- JP6900328B2 JP6900328B2 JP2018003587A JP2018003587A JP6900328B2 JP 6900328 B2 JP6900328 B2 JP 6900328B2 JP 2018003587 A JP2018003587 A JP 2018003587A JP 2018003587 A JP2018003587 A JP 2018003587A JP 6900328 B2 JP6900328 B2 JP 6900328B2
- Authority
- JP
- Japan
- Prior art keywords
- attack
- determination
- type
- name resolution
- resolution request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 15
- 238000004891 communication Methods 0.000 claims description 29
- 230000008520 organization Effects 0.000 claims description 24
- 230000005540 biological transmission Effects 0.000 description 13
- 238000000605 extraction Methods 0.000 description 11
- 230000003211 malignant effect Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 206010028980 Neoplasm Diseases 0.000 description 3
- 201000011510 cancer Diseases 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 230000036210 malignancy Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 1
- 241000220317 Rosa Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012913 prioritisation Methods 0.000 description 1
Images
Description
本発明は、サイバー攻撃の種別を判定する技術に関連するものである。 The present invention relates to a technique for determining the type of cyber attack.
サイバー攻撃の一種として、メールの添付ファイル等により端末をマルウェアに感染させる攻撃がある。当該攻撃後に、攻撃者からの指令を中継するC&C(Command and Control)サーバにマルウェアに感染した端末が接続することで、更なる感染拡大や情報漏えいが発生する。このような感染拡大や情報漏えいを防止するために、C&Cサーバのドメイン名を予め用意しておき、ISP等のDNSサーバで、マルウェアに感染した端末からの名前解決をさせない等の対策が行われている。 As a type of cyber attack, there is an attack that infects a terminal with malware by using an email attachment or the like. After the attack, a terminal infected with malware connects to a C & C (Command and Control) server that relays commands from the attacker, causing further infection spread and information leakage. In order to prevent such infection spread and information leakage, measures such as preparing the domain name of the C & C server in advance and preventing the DNS server such as ISP from resolving the name from the terminal infected with malware are taken. ing.
また、マルウェアに対し、企業等においてはアンチウィルスソフトやUTM(Unified Threat Management)等の様々な対策がCSIRT(Computer Security Incident Response Team)のもとで行われている。例えば、不審なメールが届いたといった報告を受けて、その添付ファイルはアンチウィルスソフトでは検知できない場合、サンドボックスによる動的解析や、静的解析を行って、添付ファイルはマルウェアかどうか、感染した場合にどのような動作をするか、どのように感染後の通信を検知・ブロックするか等を特定し、対処を行う。 In addition, various countermeasures such as anti-virus software and UTM (Unified Threat Management) are taken under the CSIRT (Computer Security Incident Response Team) in companies and the like against malware. For example, if you receive a report that a suspicious email has arrived and the attached file cannot be detected by anti-virus software, or if the attached file is infected by dynamic analysis or static analysis using a sandbox. Identify what kind of operation it will take, how to detect / block communication after infection, etc., and take corrective action.
マルウェアに感染させるための攻撃(例:前述のメール添付ファイル等)は膨大な数になるが、潤沢なリソースがあるとは限らないCSIRTにおいては、詳細を解析したり措置を講じたりする対象の優先順位付けが求められる。 Attacks to infect malware (eg, email attachments mentioned above) are enormous, but CSIRTs, which do not always have abundant resources, are the targets for which details are analyzed and measures are taken. Prioritization is required.
特に、受けている攻撃が特定の組織に対する「標的型」の攻撃なのか、特定の組織に限らない「ばら撒き型」の攻撃なのかを判定できると、よりリスクが高いと考えられる標的型攻撃への対策を優先的に行うことができる。しかしながら、従来技術では、そのような攻撃の種別を判定することは困難であった。 In particular, if it is possible to determine whether the attack being received is a "targeted" attack against a specific organization or a "scattered" attack that is not limited to a specific organization, it is considered to be a higher risk targeted attack. Can be given priority in taking measures against. However, with the prior art, it has been difficult to determine the type of such attack.
本発明は上記の点に鑑みてなされたものであり、サイバー攻撃の種別を判定することを可能とする技術を提供することを目的とする。 The present invention has been made in view of the above points, and an object of the present invention is to provide a technique capable of determining the type of cyber attack.
開示の技術によれば、端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、
判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、
前記判定手段による判定結果を出力する出力手段と
を備えることを特徴とする攻撃種別判定装置が提供される。
According to the disclosed technology, it is an attack type determination device that determines the type of attack that causes a terminal to communicate with a specific communication destination.
An input means for inputting communication destination information indicating the communication destination due to the attack to be judged, and
A determination means for determining the type of the attack based on the presence / absence of a name resolution request for which the communication destination information is specified or the source of the name resolution request.
An attack type determination device is provided, which comprises an output means for outputting a determination result by the determination means.
開示の技術によれば、サイバー攻撃の種別を判定することを可能とする技術が提供される。 According to the disclosed technology, a technology capable of determining the type of cyber attack is provided.
以下、図面を参照して本発明の実施の形態(本実施の形態)を説明する。以下で説明する実施の形態は一例に過ぎず、本発明が適用される実施の形態は、以下の実施の形態に限られるわけではない。 Hereinafter, embodiments of the present invention (the present embodiments) will be described with reference to the drawings. The embodiments described below are merely examples, and the embodiments to which the present invention is applied are not limited to the following embodiments.
本実施の形態では、サイバー攻撃として、端末等に、C&Cサーバ等の特定の通信先への通信を行わせる攻撃を対象としている。後述する攻撃種別判定装置100が当該攻撃の種別を判定する。本実施の形態では、当該通信先を示す通信先情報としてドメイン名を使用しているが、これは例であり、通信先情報として、ドメイン名以外の情報(例:IPアドレス)を使用してもよい。
In this embodiment, as a cyber attack, an attack that causes a terminal or the like to communicate with a specific communication destination such as a C & C server is targeted. The attack
(システムの全体構成)
図1に、本実施の形態におけるシステムの全体構成例を示す。図1に示すシステムは、DNSサーバ運用事業者のネットワーク20に備えられるDNSサーバ200及び攻撃種別判定装置100を有する。DNSサーバ運用事業者は、例えばISP(インターネットサービスプロバイダ)であるがこれに限定されるわけではない。また、攻撃種別判定装置100がネットワーク20に備えられることは一例であり、攻撃種別判定装置100が、ネットワーク20以外のネットワークに備えられることとしてもよい。
(Overall system configuration)
FIG. 1 shows an example of the overall configuration of the system according to the present embodiment. The system shown in FIG. 1 includes a
また、DNSサーバ200と攻撃種別判定装置100とを別々に備えることに代えて、攻撃種別判定装置100がDNSサーバ200の機能を含むように構成してもよい。
Further, instead of separately providing the
DNSサーバ200は、ドメイン名を指定した名前解決要求を受信し、当該ドメイン名に対応するIPアドレスを要求元に返す。DNSサーバ200は、様々な組織のネットワークから名前解決要求(ドメイン名)を受信する。
The
ここでの「組織」は、例えば、特定の企業である。また、「組織」が、特定の業種の企業全体であってもよい。また、「組織」がこれら以外であってもよい。 The "organization" here is, for example, a specific company. Further, the "organization" may be the entire company of a specific industry. Moreover, the "organization" may be other than these.
図1の例では、複数の組織のネットワークの例として、企業Aのネットワーク10A、企業Bのネットワーク10B、企業Cのネットワーク10Cが示されている。ネットワーク10A、10B、10Cはそれぞれネットワーク20に接続されている。
In the example of FIG. 1, as an example of the network of a plurality of organizations, the
例えば、ネットワーク10Aにおける端末があるドメイン名に対する名前解決を行う際に、当該端末は、DNSサーバ200に名前解決要求を送信し、DNSサーバ200から当該ドメイン名に対応するIPアドレスを受信する。このとき、DNSサーバ200は、名前解決要求に係るドメイン名、名前解決要求の送信元のIPアドレス、及び名前解決要求を受信した時刻を含むログを記録する。ここで、送信元のIPアドレスから、当該送信元は、企業Aであることを把握可能である。
For example, when a terminal in
攻撃種別判定装置100は、DNSサーバ200に対する名前解決要求の送信元等に基づいて、あるドメイン名のドメインへの通信を行わせる攻撃の種別(本実施の形態では、「標的型」又は「ばら撒き型」)を判定する機能を備える装置である。
The attack
例えば、攻撃種別判定装置100は、判定対象のドメイン名を指定する名前解決要求が無い場合、当該ドメイン名に係る攻撃を「標的型」と判定する。当該ドメイン名を指定する名前解決要求が無いということは、当該判定対象のドメイン名を攻撃種別判定装置100に通知した組織にのみ、当該攻撃が行われたと推定できるからである。また、例えば、攻撃種別判定装置100は、判定対象のドメイン名を指定する名前解決要求の送信元が1つの組織である場合にも、当該ドメイン名に係る攻撃を「標的型」と判定する。当該ドメイン名を指定する名前解決要求の送信元が1つの組織であるということは、当該ドメイン名に係る攻撃が当該組織にのみなされていると推定できるからである。なお、当該ドメイン名を指定する名前解決要求の送信元が1つの組織であるとは、例えば、複数の「当該ドメイン名を指定する名前解決要求」があった場合において、それぞれの送信元のIPアドレスが当該1つの組織が持つIPアドレスであるような場合である。
For example, the attack
判定要求装置300は、攻撃種別判定装置100に対して判定対象のドメイン名を判定要求として送信する装置である。判定要求装置300は、ある企業のネットワークに属する装置(例:企業Aにおける端末)であってもよいし、ネットワーク20に属する装置であってもよいし、これら以外のネットワークに属する装置であってもよい。
The
(装置構成例)
<攻撃種別判定装置100>
図2に、攻撃種別判定装置100の機能構成例を示す。図2に示すように、攻撃種別判定装置100は、判定要求受信部101、判定部102、判定結果送信部103、名前解決ログ格納部104、アドレス情報格納部105を含む。
(Device configuration example)
<Attack
FIG. 2 shows an example of the functional configuration of the attack
判定要求受信部101は、例えば判定要求装置300から、判定対象のドメイン名を指定した判定要求を受信する。判定部102は、名前解決ログ格納部104に格納されている情報、及びアドレス情報格納部105に格納されている情報に基づいて、判定対象のドメイン名が、標的型攻撃に係るドメイン名か、あるいは、ばら撒き型攻撃に係るドメイン名かを判定する。判定結果送信部103は、判定結果を例えば判定要求元に返す。なお、判定結果送信部103は、判定結果を判定要求元に返すことの他、例えば、Webにより、ドメイン名と、当該ドメイン名に係る攻撃が標的型か、ばら撒き型かを公開することとしてもよい。いずれにおいても、判定結果送信部103は、判定結果を出力する出力手段に相当する。
The determination
名前解決ログ格納部104は、名前解決ログを格納する。当該名前解決ログは、DNSサーバ200から取得したものである。攻撃種別判定装置100がDNSサーバでもある場合には、名前解決ログは、攻撃種別判定装置100自身の名前解決処理により得られたログである。前述したように、名前解決ログは、名前解決要求に係るドメイン名、名前解決要求の送信元のIPアドレス、及び名前解決要求を受信した時刻(例:年/月/日/時/分/秒)を含む。
The name resolution
アドレス情報格納部105は、IPアドレスと、それに対応するドメイン名からなるアドレス情報を格納する。当該アドレス情報は、DNSサーバ200から取得したものであってもよいし、個別に設定したものであってもよい。また、攻撃種別判定装置100がDNSサーバでもある場合には、当該アドレス情報が、攻撃種別判定装置100(DNSサーバ)自身が名前解決処理に使用する情報であってもよい。
The address
また、アドレス情報格納部105に格納されるアドレス情報がIPアドレスと、それに対応するドメイン名からなる情報であることは一例である。当該アドレス情報は、名前解決要求の送信元の組織を判別可能な情報であればどのような情報であってもよい。
Further, it is an example that the address information stored in the address
<判定要求装置300>
図3に、判定要求装置300の機能構成例を示す。本実施の形態における判定要求装置300は、一例として、メール本文に記述されたURLが悪性かどうか、メールに添付された添付ファイルが悪性かどうかを判定し、悪性と判定した場合に、当該URL/添付ファイルに基づく通信先(ドメイン名)を抽出する機能を備える。
<
FIG. 3 shows an example of the functional configuration of the
より詳細には、図3に示すように、判定要求装置300は、本文URL抽出部301、添付ファイル抽出部302、悪性判定部303、通信先ドメイン抽出部304、判定対象ドメイン送信部305、判定結果受信部306、及びドメイン情報格納部307を含む。
More specifically, as shown in FIG. 3, the
本文URL抽出部301は、メールサーバ等から受信するメールにおける本文に記述されやURLを抽出する。添付ファイル抽出部302は、メールに添付された添付ファイルを抽出する。
The body
悪性判定部303は、本文URL抽出部301により抽出されたURLや、添付ファイル抽出部302により抽出された添付ファイルが悪性かどうかを判定する。悪性かどうかを判定すること自体は既存技術であり、動的解析による判定手法、静的解析による判定手法等がある。一例として、C&Cサーバのドメインであると推定できる通信先ドメインへの接続動作を行わせるようなURLや添付ファイルは悪性であると判断される。
The
通信先ドメイン抽出部304は、悪性判定部303により悪性と判定されたURLあるいは添付ファイルにより実行される接続動作(例:C&Cサーバへの接続動作)における通信先(ここではドメイン名)を抽出し、当該ドメイン名をドメイン情報格納部307に格納する。
The communication destination
判定対象ドメイン送信部305は、ドメイン情報格納部307に格納された未判定のドメイン名を、攻撃種別の判定対象のドメイン名として攻撃種別判定装置100に送信する。判定結果受信部306は、攻撃種別判定装置100から判定結果を受信し、判定結果の情報をドメイン情報格納部307に格納する。
The determination target
図4は、ドメイン情報格納部307に格納されるテーブルの一例を示す図である。図4に示す例において、当該テーブルは、ID、ドメイン名、被攻撃日時、攻撃ID、情報源、判定要求送信日時、判定結果受信日時、判定結果を有する。"ID"は、テーブルのエントリのIDである。"ドメイン名"は、判定対象の攻撃に係るドメイン名である。"被攻撃日時"は、当該ドメイン名のドメインへの通信を行わせる攻撃(例:悪性URLを記述したメールを受信、悪性添付ファイルを添付したメールを受信、等)を受けた日時である。"攻撃ID"は、攻撃を識別するIDである。
FIG. 4 is a diagram showing an example of a table stored in the domain
"情報源"は、判定対象のドメイン名を抽出した元の情報である。"判定要求送信日時"は、判定要求を送信した日時である。"判定結果受信日時"は、判定結果を受信した日時である。"判定結果"は、標的型かばら撒き型かを示す。 The "information source" is the original information from which the domain name to be determined is extracted. The "judgment request transmission date and time" is the date and time when the judgment request was transmitted. The "judgment result reception date and time" is the date and time when the judgment result is received. The "judgment result" indicates whether it is a target type or a scattered type.
なお、判定要求装置300が判定対象のドメイン名を抽出し、それを攻撃種別判定装置100に送信することは一例に過ぎない。
It should be noted that the
例えば、あるユーザが、何等かの理由で疑わしいと考えるドメイン名を自分の端末から攻撃種別判定装置100に送信し、攻撃種別判定装置100から判定結果を受信することとしてもよい。また、攻撃種別判定装置100が、当該端末に、判定対象のドメイン名を入力するためのWebページを提供し、ユーザが当該端末に表示されるWebページ上に判定対象ドメイン名を入力することで、当該判定対象ドメイン名を攻撃種別判定装置100に送信することとしてもよい。
For example, a user may send a domain name that is considered suspicious for some reason from his / her terminal to the attack
(ハードウェア構成例)
攻撃種別判定装置100と判定要求装置300はいずれも、例えば、コンピュータに、本実施の形態で説明する処理内容を記述したプログラムを実行させることにより実現可能である。すなわち、当該装置が有する機能は、コンピュータに内蔵されるCPUやメモリ、ハードディスクなどのハードウェア資源を用いて、当該装置で実施される処理に対応するプログラムを実行することによって実現することが可能である。上記プログラムは、コンピュータが読み取り可能な記録媒体(可搬メモリ等)に記録して、保存したり、配布したりすることが可能である。また、上記プログラムをインターネットや電子メールなど、ネットワークを通して提供することも可能である。
(Hardware configuration example)
Both the attack
図5は、当該装置をコンピュータで実現する場合におけるハードウェア構成例を示す図である。図5に示す装置は、それぞれバスBで相互に接続されているドライブ装置150、補助記憶装置152、メモリ装置153、CPU154、インタフェース装置155、表示装置156、及び入力装置157等を有する。
FIG. 5 is a diagram showing an example of hardware configuration when the device is realized by a computer. The devices shown in FIG. 5 include a
当該装置での処理を実現するプログラムは、例えば、CD−ROM又はメモリカード等の記録媒体151によって提供される。プログラムを記憶した記録媒体151がドライブ装置150にセットされると、プログラムが記録媒体151からドライブ装置150を介して補助記憶装置152にインストールされる。但し、プログラムのインストールは必ずしも記録媒体151より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置152は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。
The program that realizes the processing in the apparatus is provided by, for example, a
メモリ装置153は、プログラムの起動指示があった場合に、補助記憶装置152からプログラムを読み出して格納する。CPU154(プロセッサ)は、メモリ装置153に格納されたプログラムに従って当該装置に係る機能を実現する。インタフェース装置155は、ネットワークに接続するためのインタフェースとして用いられる。表示装置156はプログラムによるGUI(Graphical User Interface)等を表示する。入力装置157はキーボード及びマウス、ボタン、又はタッチパネル等で構成され、様々な操作指示を入力させるために用いられる。
The
なお、当該装置を遠隔から操作したり、遠隔で表示を行う場合には、表示装置156及び入力装置157を備えないこととしてもよい。
When the device is operated remotely or the display is performed remotely, the
(動作例)
次に、図6のシーケンス図を参照して本実施の形態に係るシステムの動作例を説明する。
(Operation example)
Next, an operation example of the system according to the present embodiment will be described with reference to the sequence diagram of FIG.
S101において、判定要求装置300は、前述したように、例えば、メール本文に記述されたURL、あるいは、メールに添付された添付ファイルを解析することで、判定対象の攻撃に係るドメイン名(便宜上、「判定対象のドメイン名」と呼んでもよい)を抽出する。S102において、判定要求装置300の判定対象ドメイン送信部305は、判定対象のドメイン名を攻撃種別判定装置100に送信する。
In S101, as described above, the
S103において、攻撃種別判定装置100が判定対象のドメイン名に基づいて、当該ドメイン名に係る攻撃の種別(標的型、又は、ばら撒き型)を判定する。S104において、攻撃種別判定装置100の判定結果送信部103は、S103における判定結果を判定要求装置300に送信する。S105において、判定要求装置300は、判定結果をドメイン情報格納部307に格納(登録)する。
In S103, the attack
上記のS103における攻撃種別判定処理を図7のフローチャートを参照して説明する。 The attack type determination process in S103 will be described with reference to the flowchart of FIG.
攻撃種別判定装置100の判定要求受信部101が、判定対象のドメイン名を受信すると、判定部102は、判定要求受信部101から当該判定対象のドメイン名を取得する(S201)。
When the determination
判定部102は、S201において取得したドメイン名を指定した名前解決要求があるか否かを、ドメイン名を基に名前解決ログ格納部104を検索することにより判定する(S202)。この判定は、名前解決ログ全体に対する検索により行ってもよいし、最新のログから所定時間過去までのログの範囲の検索により行うこととしてもよい。
The
S202における判定結果がNoの場合(当該ドメイン名を指定した名前解決要求がない場合)、S204に進み、判定部102は、当該ドメイン名に係る攻撃を標的型であると判定する。
If the determination result in S202 is No (when there is no name resolution request specifying the domain name), the process proceeds to S204, and the
S202における判定結果がYesの場合(当該ドメイン名を指定した名前解決要求がある場合)、S203に進む。S203において、判定部102は、判定対象ドメイン名の名前解決要求の送信元が所定の条件を満たすかどうかを判定する。なお、判定対象ドメイン名の名前解決要求は、1つ又は複数存在する。
If the determination result in S202 is Yes (when there is a name resolution request specifying the domain name), the process proceeds to S203. In S203, the
「所定の条件」は、例えば、"判定対象ドメイン名の名前解決要求の送信元が1つの組織である"ことである。 The "predetermined condition" is, for example, "the source of the name resolution request for the domain name to be determined is one organization".
例えば、判定部102は、判定対象ドメイン名の名前解決要求の送信元のIPアドレス(1つ又は複数)を名前解決ログ格納部104から取得し、それぞれのIPアドレスに基づいて、アドレス情報格納部105を検索することで、IPアドレスに対応付けられた組織(例:企業)を示す情報(例:ドメイン名)を抽出することにより、判定対象ドメイン名の名前解決要求の送信元が1つの組織であるかどうかを判断する。
For example, the
"判定対象ドメイン名の名前解決要求の送信元が1つの組織である"という条件を「所定の条件」として使用した場合において、S203の判定がYesの場合(所定の条件を満たす場合)、S204において、判定部102は、攻撃が当該1つの組織(例:企業A)への標的型の攻撃であると判断する。
When the condition "the source of the name resolution request of the domain name to be judged is one organization" is used as the "predetermined condition", and the judgment of S203 is Yes (when the predetermined condition is satisfied), S204 In, the
S203の判定がNoの場合(つまり、複数の組織から名前解決要求があった場合)、攻撃はばら撒き型であると判定する(S205)。 When the determination in S203 is No (that is, when there are name resolution requests from a plurality of organizations), it is determined that the attack is a scattered type (S205).
「所定の条件」は、"判定対象ドメイン名の名前解決要求の送信元が1つの業種である"ことであってもよい。 The "predetermined condition" may be that "the source of the name resolution request for the domain name to be determined is one industry".
この場合、例えば、判定部102は、判定対象ドメイン名の名前解決要求の送信元のIPアドレス(1つ又は複数)を名前解決ログ格納部104から取得し、それぞれのIPアドレスに基づいて、アドレス情報格納部105を検索することで、IPアドレスに対応付けられた組織(例:企業)を示す情報(例:ドメイン名)を抽出し、当該組織(1つ又は複数)を示す情報が、1つの業種に該当するか否かを判定する。この場合、例えば、アドレス情報格納部105には、前述したアドレス情報とともに、組織名と業種とを対応付けた情報(例:企業X、企業Y、企業Zの業種は「通信事業者」)が格納されており、これにより、判定部102は、送信元の組織に対応する業種を判断できる。
In this case, for example, the
"判定対象ドメイン名の名前解決要求の送信元が1つの業種である"という条件を「所定の条件」として使用した場合において、S203の判定がYesの場合(所定の条件を満たす場合)、S204において、判定部102は、攻撃が当該1つの業種(例:通信事業者)への標的型の攻撃であると判断する。なお、「組織」を広く解釈して、その意味として"業種"を含むと解釈してもよい。
When the condition "the source of the name resolution request for the domain name to be determined is one industry" is used as the "predetermined condition", and the determination in S203 is Yes (when the predetermined condition is satisfied), S204. In the
上述した「所定の条件」は、いずれも一例であり、「所定の条件」は特定の条件に限定されない。 The above-mentioned "predetermined conditions" are all examples, and the "predetermined conditions" are not limited to specific conditions.
なお、攻撃種別判定装置100が、DNSサーバとしても機能する場合において、攻撃種別判定装置100は、上述した動作と同じ動作を行ってもよいし、監視動作を行ってもよい。監視動作を行う場合においては、図7のS201の後、S202の前において、判定部102は、予め定めた時間だけ、判定対象のドメイン名を指定した名前解決要求を監視し、判定対象のドメイン名を指定した名前解決要求を受けた場合には、当該名前解決要求の送信元のIPアドレスをメモリ等の記憶手段に記憶する。なお、この記憶手段に記憶された情報は、名前解決要求のログの一例である。
When the attack
判定対象のドメイン名を指定した名前解決要求を受けない場合には、当該記憶手段には何も記憶されない。その後、S202以降の処理を行う。S202以降の処理においては、当該記憶手段に格納された送信元の情報を利用する。 If the name resolution request specifying the domain name to be determined is not received, nothing is stored in the storage means. After that, the processing after S202 is performed. In the processing after S202, the information of the transmission source stored in the storage means is used.
また、攻撃種別判定装置100が、DNSサーバとしても機能する場合において、判定対象のドメイン名をブラックリストの要素として用い、当該ドメイン名を指定した名前解決要求に対して、名前解決処理を行わないこととしてもよい。
Further, when the attack
本実施の形態で説明した技術により、攻撃が標的型攻撃かどうかを判定することができるため、その対応優先度を上げることができる。 Since it is possible to determine whether or not the attack is a targeted attack by the technique described in the present embodiment, it is possible to raise the response priority.
(実施の形態のまとめ)
以上、説明したように、本実施の形態によれば、端末に特定の通信先への通信を行わせる攻撃の種別を判定する攻撃種別判定装置であって、判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、前記判定手段による判定結果を出力する出力手段とを備えることを特徴とする攻撃種別判定装置が提供される。
(Summary of embodiments)
As described above, according to the present embodiment, it is an attack type determination device that determines the type of attack that causes the terminal to communicate with a specific communication destination, and indicates the communication destination due to the attack to be determined. The input means for inputting the communication destination information, the determination means for determining the type of the attack based on the presence / absence of the name resolution request for which the communication destination information is specified, or the source of the name resolution request, and the determination means. An attack type determination device is provided, which comprises an output means for outputting a determination result.
判定要求受信部101、判定部102、判定結果送信部103はそれぞれ、入力手段、判定手段、出力手段の例である。
The determination
前記判定手段は、前記名前解決要求が無い場合に、前記攻撃の種別を標的型であると判定することとしてもよい。前記判定手段は、前記名前解決要求の送信元が1つの組織である場合に、前記攻撃の種別を標的型であると判定することとしてもよい。 The determination means may determine that the type of attack is a target type when there is no name resolution request. The determination means may determine that the type of attack is targeted when the source of the name resolution request is one organization.
前記判定手段は、前記名前解決要求が有り、当該名前解決要求の送信元が複数の組織である場合に、前記攻撃の種別をばら撒き型であると判定することとしてもよい。 When the determination means has the name resolution request and the source of the name resolution request is a plurality of organizations, the determination means may determine that the type of the attack is a scattered type.
前記判定手段は、複数の組織から利用されるDNSサーバが受信する名前解決要求のログに基づいて、前記攻撃の種別の判定を行うこととしてもよい。 The determination means may determine the type of attack based on the log of name resolution requests received by DNS servers used by a plurality of organizations.
以上、本実施の形態について説明したが、本発明はかかる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。 Although the present embodiment has been described above, the present invention is not limited to such a specific embodiment, and various modifications and changes can be made within the scope of the gist of the present invention described in the claims. It is possible.
10A〜10B 企業のネットワーク
20 DNSサーバ運用事業者のネットワーク
100 攻撃種別判定装置
101 判定要求受信部
102 判定部
103 判定結果送信部
104 名前解決ログ格納部
105 アドレス情報格納部
200 DNSサーバ
300 判定要求装置
301 本文URL抽出部
302 添付ファイル抽出部
303 悪性判定部
304 通信先ドメイン抽出部
305 判定対象ドメイン送信部
306 判定結果受信部
307 ドメイン情報格納部
150 ドライブ装置
151 記録媒体
152 補助記憶装置
153 メモリ装置
154 CPU
155 インタフェース装置
156 表示装置
157 入力装置
10A-
155
Claims (7)
判定対象の攻撃による通信先を示す通信先情報を入力する入力手段と、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定手段と、
前記判定手段による判定結果を出力する出力手段と
を備えることを特徴とする攻撃種別判定装置。 It is an attack type determination device that determines the type of attack that causes the terminal to communicate with a specific communication destination.
An input means for inputting communication destination information indicating the communication destination due to the attack to be judged, and
A determination means for determining the type of the attack based on the presence / absence of a name resolution request for which the communication destination information is specified or the source of the name resolution request.
An attack type determination device including an output means for outputting a determination result by the determination means.
ことを特徴とする請求項1に記載の攻撃種別判定装置。 The attack type determination device according to claim 1, wherein the determination means determines that the attack type is a target type when there is no name resolution request.
ことを特徴とする請求項1又は2に記載の攻撃種別判定装置。 The attack type determination device according to claim 1 or 2, wherein the determination means determines that the type of the attack is a target type when the source of the name resolution request is one organization. ..
ことを特徴とする請求項1ないし3のうちいずれか1項に記載の攻撃種別判定装置。 The determination means is characterized in that, when there is the name resolution request and the source of the name resolution request is a plurality of organizations, it is determined that the type of the attack is a scattered type. The attack type determination device according to any one of 3.
ことを特徴とする請求項1ないし4のうちいずれか1項に記載の攻撃種別判定装置。 One of claims 1 to 4, wherein the determination means determines the type of attack based on a log of name resolution requests received by DNS servers used by a plurality of organizations. Attack type determination device described in.
判定対象の攻撃による通信先を示す通信先情報を入力する入力ステップと、
前記通信先情報を指定した名前解決要求の有無、又は当該名前解決要求の送信元に基づいて、前記攻撃の種別を判定する判定ステップと、
前記判定ステップによる判定結果を出力する出力ステップと
を備えることを特徴とする攻撃種別判定方法。 This is an attack type determination method executed by the attack type determination device that determines the type of attack that causes the terminal to communicate with a specific communication destination.
An input step for inputting communication destination information indicating the communication destination due to the attack to be judged, and
A determination step for determining the type of attack based on the presence or absence of a name resolution request for which the communication destination information is specified, or the source of the name resolution request.
An attack type determination method including an output step for outputting a determination result by the determination step.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018003587A JP6900328B2 (en) | 2018-01-12 | 2018-01-12 | Attack type determination device, attack type determination method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018003587A JP6900328B2 (en) | 2018-01-12 | 2018-01-12 | Attack type determination device, attack type determination method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2019125037A JP2019125037A (en) | 2019-07-25 |
JP6900328B2 true JP6900328B2 (en) | 2021-07-07 |
Family
ID=67398692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018003587A Active JP6900328B2 (en) | 2018-01-12 | 2018-01-12 | Attack type determination device, attack type determination method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6900328B2 (en) |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6086423B2 (en) * | 2012-11-14 | 2017-03-01 | 国立研究開発法人情報通信研究機構 | Unauthorized communication detection method by collating observation information of multiple sensors |
JP6303661B2 (en) * | 2014-03-17 | 2018-04-04 | 日本電気株式会社 | Malware detection system, malware detection method, DNS server, and name resolution program. |
US10645098B2 (en) * | 2015-01-28 | 2020-05-05 | Nippon Telegraph And Telephone Corporation | Malware analysis system, malware analysis method, and malware analysis program |
-
2018
- 2018-01-12 JP JP2018003587A patent/JP6900328B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2019125037A (en) | 2019-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6526895B2 (en) | Automatic mitigation of electronic message based security threats | |
US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
US9306964B2 (en) | Using trust profiles for network breach detection | |
EP2837131B1 (en) | System and method for determining and using local reputations of users and hosts to protect information in a network environment | |
US11882137B2 (en) | Network security blacklist derived from honeypot statistics | |
US10447709B2 (en) | Methods and systems for integrating reconnaissance with security assessments for computing networks | |
US8677493B2 (en) | Dynamic cleaning for malware using cloud technology | |
US20160036849A1 (en) | Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies | |
US10747881B1 (en) | Using browser context in evasive web-based malware detection | |
JPWO2014112185A1 (en) | Attack analysis system, linkage device, attack analysis linkage method, and program | |
US11374946B2 (en) | Inline malware detection | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
JP6050162B2 (en) | Connection destination information extraction device, connection destination information extraction method, and connection destination information extraction program | |
US20230007013A1 (en) | Visualization tool for real-time network risk assessment | |
WO2022159611A1 (en) | Preventing phishing attacks via document sharing | |
EP3195140B1 (en) | Malicious message detection and processing | |
US20230283632A1 (en) | Detecting malicious url redirection chains | |
JP6900328B2 (en) | Attack type determination device, attack type determination method, and program | |
US10250625B2 (en) | Information processing device, communication history analysis method, and medium | |
WO2021015941A1 (en) | Inline malware detection | |
JPWO2019180989A1 (en) | Hearing systems, threat response systems, methods and programs | |
US11863586B1 (en) | Inline package name based supply chain attack detection and prevention | |
WO2024049702A1 (en) | Inline package name based supply chain attack detection and prevention | |
CN117278288A (en) | Network attack protection method and device, electronic equipment and storage medium | |
JP2024046098A (en) | Information management device and information management program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200715 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210519 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210601 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210616 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6900328 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |